Настоящий стандарт определяет систематизированный перечень и содержит описание типовых угроз, характерных для процессов идентификации и аутентификации субъектов и объектов доступа, а также перечень типовых уязвимостей процессов идентификации и аутентификации, которые могут быть использованы для нарушения установленного порядка и правил их выполнения.

Приведенный в настоящем документе перечень типовых угроз и уязвимостей не включает угрозы и уязвимости, обусловленные программной или программно-аппаратной (программно-технической) реализацией процессов идентификации и аутентификации в средствах защиты информации или средствах обеспечения безопасности информационных технологий.

Положения настоящего стандарта устанавливают структуру описания типовых уязвимостей и угроз, состав компонентов процессов идентификации и аутентификации, которые могут являться объектами воздействий, реализующих типовые угрозы, и/или могут содержать типовые уязвимости, и определяют особенности применения приведенных перечней типовых угроз и уязвимостей процессов идентификации и аутентификации для средств защиты информации, средств обеспечения безопасности информационных технологий, а также средств вычислительной техники, автоматизированных, информационных и других систем.

Положения настоящего стандарта могут использоваться при планировании, проектировании и реализации процедур управления доступом к информационным ресурсам, вычислительным ресурсам средств вычислительной техники, ресурсам автоматизированных, информационных и других систем, средствам вычислительной техники, автоматизированным, информационным, и другим системам в целом.

Положения настоящего стандарта применяются совместно с документами по стандартизации, регламентирующими вопросы идентификации и аутентификации.

Настоящий стандарт предназначен для применения путем включения нормативных ссылок на него в соответствии с действующим законодательством и (или) прямого использования устанавливаемых в нем положений.